Использование СКЗИ «КриптоПро CSP» с выключенным режимом усиленного контроля использования ключей не допускается.

Настройки ОС для работы с СКЗИ должны производиться в соответствии с документом «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00101-03 91 03 [3] и документом «СКЗИ «КриптоПро CSP». Руководство администратора безопасности. Использование СКЗИ под управлением ОС Linux» ЖТЯИ.00102‑03 91 03 [4]. Администратор безопасности должен сконфигурировать ОС, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

  • на ПЭВМ должна быть установлена только одна операционная система. При использовании СКЗИ «КриптоПро CSP» исполнения 1-Base в случае использования виртуальной инфраструктуры допускается установка одной хостовой и неограниченного числа гостевых ОС. При использовании СКЗИ «КриптоПро CSP» исполнения 2-Base – использование виртуализации запрещено;
  • в системе регистрируется один пользователь, обладающий правами администратора, на которого возлагается обязанность конфигурировать ОС, настраивать безопасность ОС, а также конфигурировать ПЭВМ, на которую установлена ОС;
  • правом установки и настройки ОС и СКЗИ должен обладать только Администратор безопасности;
  • все неиспользуемые ресурсы системы необходимо удалить или отключить (протоколы, сервисы, порты, общие ресурсы, пользователи и т.п.);
  • режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень;
  • всем пользователям и группам, зарегистрированным в ОС, Администратор безопасности в соответствии с политикой безопасности, принятой в организации, даёт минимально возможные для нормальной работы права; каждый пользователь ОС, не являющийся администратором, может просматривать и редактировать только свои настройки в рамках прав доступа, назначенных ему администратором;
  • необходимо предусмотреть меры, максимально ограничивающие доступ к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
    • системный реестр;
    • файлы и каталоги;
    • временные файлы;
    • журналы системы;
    • файлы подкачки;
    • кэшируемая информация (пароли и т.п.);
    • отладочная информация.
  • кроме того, необходимо организовать стирание (по окончании сеанса работы СКЗИ) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ (если это не выполнимо, то на жёсткий диск должны распространяться требования, предъявляемые к ключевым носителям);
  • должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию;
  • средствами BIOS должна быть исключена возможность работы на ПЭВМ с СКЗИ, если во время её начальной загрузки не проходят встроенные тесты (POST);
  • средствами BIOS должна быть исключена возможность отключения пользователями ISA-устройств и PCI-устройств;
  • в случае подключения ПЭВМ с установленным СКЗИ к общедоступным сетям передачи данных, необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (например, JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносного ПО, загружаемых из сети;
  • при использовании СКЗИ на ПЭВМ/устройствах, подключённых к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей должны использоваться дополнительные методы и средства защиты (например, установка межсетевых экранов, IPS/IDS, организация VPN сетей и т.п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации.